TrojanWPCracker.3

[gudim]

Здравствуйте!

CureIt обнаружил TrojanWPCracker.3, удалить не может.

 

log.txt

info.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

[mike 1]

Здравствуйте!

 

Закройте все программы

 

Отключите

- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('c:\progra~3\dxikamir.exe','');
 QuarantineFile('C:\Users\Илья\AppData\Roaming\Tydedx.exe','');
 DeleteFile('C:\Users\Илья\AppData\Roaming\Tydedx.exe','32');
 DeleteFile('c:\progra~3\dxikamir.exe','32');
 DeleteFile('C:\Windows\Tasks\UpdaterEX.job','64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tydedx');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','39006');
 DeleteService('lzsbvprg');
 BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
 ExecuteRepair(8);    
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

 

O4 - HKCU\..\Run: [Tydedx] C:\Users\Илья\AppData\Roaming\Tydedx.exe
O4 - HKLM\..\Policies\Explorer\Run: [39006] c:\progra~3\dxikamir.exe

 

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму сохраните и прикрепите в ваше следующее сообщение. 

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.

Самостоятельно ничего не удаляйте!

Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Подробнее читайте в руководстве

 

 

 

[gudim]

MD5 карантина: 3421F7BE9597C9A351B1205F4D920B2B 

Malwarebytes' Anti-Malware не устанавливается (отказано в доступе)

[mike 1]

• Скачайте Universal Virus Sniffer (uVS)

   

   
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
   
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

  !Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.

  ! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

• Подробнее читайте в руководстве Как подготовить лог UVS

[gudim]

я запустил Malwarebytes' Anti-Malware таким образом

Включил UAC,

Включил брандмауэр (был отключен) и снова выключил,

 

 Universal Virus Sniffer (uVS) запускать? Или дождаться лога от  Malwarebytes' Anti-Malware?

Изменено 26 января, 2014 пользователем gudim

[thyrex]

Делайте лог МВАМ

[mike 1]

я запустил Malwarebytes' Anti-Malware таким образом

Включил UAC,

Включил брандмауэр (был отключен) и снова выключил,

 

 Universal Virus Sniffer (uVS) запускать? Или дождаться лога от  Malwarebytes' Anti-Malware?

Делайте тогда лог MBAM. UVS пока что не надо. 

[gudim]

MBAM-log-2014-01-26 (20-10-12)

MBAM-log-2014-01-26 (20-10-12).txt

Изменено 26 января, 2014 пользователем gudim

[mike 1]

Отключите

- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:

 

begin
QuarantineFile('C:\ProgramData\dxdsvc.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\ProgramData\dxtrhac.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxaapa.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxaavycsu.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxadie.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxeafo.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxeakzu.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxfskhgwd.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxftbhfu.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxidwi.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxihemkc.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxjate.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxlbukra.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxmtokjae.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxnurls.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxodie.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxqcuux.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxqmkwlwn.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxrlhs.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxrtnito.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxtbsisb.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxuawke.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxvbaoif.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxvniedo.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxvxdwa.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxwhekfr.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxwwfspd.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxxsft.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxzlbz.exe','MBAM:Trojan.ModifiedUPX');
CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');
end.

 

quarantine2.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

 

Подробнее читайте в руководстве

 

 

Обнаруженные ключи в реестре:  2

HKCU\SOFTWARE\BonanzaDealsLive (PUP.Optional.BonanzaDeals.A) -> Действие не было предпринято.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\BonanzaDealsLive.exe (PUP.Optional.BonanzaDeals.A) -> Действие не было предпринято.

 

Обнаруженные файлы:

C:\ProgramData\dxdsvc.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.

C:\ProgramData\dxtrhac.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.

C:\Users\Илья\dxaapa.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.

C:\Users\Илья\dxaavycsu.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.

C:\Users\Илья\dxadie.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.

C:\Users\Илья\dxeafo.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.

C:\Users\Илья\dxeakzu.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.

C:\Users\Илья\dxfskhgwd.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.

C:\Users\Илья\dxftbhfu.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.

C:\Users\Илья\dxidwi.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.

C:\Users\Илья\dxihemkc.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.

C:\Users\Илья\dxjate.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.

C:\Users\Илья\dxlbukra.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.

C:\Users\Илья\dxmtokjae.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.

C:\Users\Илья\dxnurls.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.

C:\Users\Илья\dxodie.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.

C:\Users\Илья\dxqcuux.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.

C:\Users\Илья\dxqmkwlwn.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.

C:\Users\Илья\dxrlhs.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.

C:\Users\Илья\dxrtnito.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.

C:\Users\Илья\dxtbsisb.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.

C:\Users\Илья\dxuawke.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.

C:\Users\Илья\dxvbaoif.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.

C:\Users\Илья\dxvniedo.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.

C:\Users\Илья\dxvxdwa.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.

C:\Users\Илья\dxwhekfr.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.

C:\Users\Илья\dxwwfspd.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.

C:\Users\Илья\dxxsft.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.

C:\Users\Илья\dxzlbz.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.

 

 

 

 

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

 

 

Изменено 26 января, 2014 пользователем mike 1

[gudim]

KLAN-1368166848

MBAM-log-2014-01-26 (23-02-45).txt

Изменено 26 января, 2014 пользователем gudim

[mike 1]

Чем из этого списка вы не пользуйтесь?

 

C:\Users\Илья\Downloads\----populaire-2012-dvdrip-_id3584521ids2s.exe (PUP.Adware.MediaGet) -> Действие не было предпринято.

C:\Users\Илья\Downloads\CS6 amtlib.dll.zip (PUP.RiskwareTool.CK) -> Действие не было предпринято.

C:\Users\Илья\Downloads\kadryi-_torrentino.exe (PUP.Optional.LoadMoney) -> Действие не было предпринято.

C:\Users\Илья\Downloads\lyubov-na-konchikah-palcev-2012-720h576-5.88-gb.exe (PUP.Optional.Installmonetizer) -> Действие не было предпринято.

C:\Users\Илья\Downloads\MediaGet_id4038691ids1s.exe (PUP.Adware.MediaGet) -> Действие не было предпринято.

C:\Users\Илья\Downloads\MediaGet_id4039390ids1s.exe (PUP.Adware.MediaGet) -> Действие не было предпринято.

C:\Users\Илья\Downloads\oblachnyiy-atlas-_torrentino.exe (PUP.Optional.LoadMoney) -> Действие не было предпринято.

C:\Users\Илья\Downloads\seksualnaya-tvar-[torrentino].exe (PUP.Optional.ZvuZona) -> Действие не было предпринято.

C:\Users\Илья\Downloads\seksualnaya-tvar-_torrentino.exe (PUP.Optional.LoadMoney) -> Действие не было предпринято.

C:\Users\Илья\Downloads\Skype_Rus_Full_Setup (1).exe (PUP.Optional.Freemium.A) -> Действие не было предпринято.

C:\Users\Илья\Downloads\SoftonicDownloader_for_xampp.exe (PUP.Optional.Softonic.A) -> Действие не было предпринято.

C:\Users\Илья\Downloads\sonnaya-loschina-_torrentino.exe (PUP.Optional.LoadMoney) -> Действие не было предпринято.

C:\Users\Илья\Downloads\torrent.exe (PUP.Optional.LoadMoney) -> Действие не было предпринято.

 

Сделайте новые логи AVZ, RSIT. 

[gudim]

Ничем не пользуюсь,

log.txt

info.txt

virusinfo_syscheck.zip

Изменено 26 января, 2014 пользователем gudim

[mike 1]

• Скачайте Universal Virus Sniffer (uVS)
  

• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  

• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
  

!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.
  

! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

• Подробнее читайте в руководстве Как подготовить лог UVS
  

 

[gudim]

лог uVS

ИЛЬЯ-ПК_2014-01-27_19-31-11.7z

[mike 1]

 

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

;uVS v3.81.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
breg

addsgn A7679BF0AA021CE34BD4C60D5C881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C3710C49F75C4C32EF4CA2CC015DA3BE4AC965B2FC706AB7E 8 TYDEDX.EXE

zoo %SystemDrive%\USERS\ИЛЬЯ\APPDATA\ROAMING\TYDEDX.EXE
bl 71648065136A8FB675EC7930ECB8B0DA 163328
delall %SystemDrive%\USERS\ИЛЬЯ\APPDATA\ROAMING\TYDEDX.EXE
delref HTTP://SEARCHFUNMOODS.COM/?F=1&A=IRON2&CHNL=IRON2&CD=2XZUYETN2Y1L1QZUTDTDZZTDYEZZTCYCTA0ETDTAZYZZYD0ETN0D0TZU0CTAYETDTN1L2XZUTBTFTBTFTDTFTAYEYE&CR=547188142
zoo %SystemDrive%\PROGRAM FILES (X86)\FVCHEAT 2\FVCHEAT.EXE
chklst
delvir

deltmp
czoo
restart
 

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
• После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

• Полученный архив отправьте через данную форму.
  
  1. Выберите тип запроса "Запрос на исследование вредоносного файла".
  2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
  3. Прикрепите файл карантина
  4. Введите изображенное на картинке число и нажмите "Далее".
  5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
   Полученный ответ сообщите здесь (с указанием номера KLAN)

 

• Подробнее читайте в этом руководстве.

 

Сделайте новый лог UVS.